Maldita Tecnología
09/04/2020

¿Qué sabemos de las brechas de seguridad de la aplicación Zoom y sus problemas con la privacidad?

Muchas personas han empezado a utilizar Zoom a raíz de la crisis sanitaria causada por el coronavirus y la necesidad de teletrabajar. A raíz de eso y de que esta semana se haya publicado en diversos medios que el programa tiene fallos de seguridad, nos habéis preguntado por ellos. Vamos a intentar agruparlos.

Zoom es una aplicación que permite hacer videoconferencias, chatear a la vez, mantener una lista de contactos, etc. Una herramienta bastante útil para teletrabajar y mantener reuniones diarias que lleva funcionando desde 2013 en dos formatos, tanto en navegador como en aplicaciones. La app ya se usaba antes de entrar en esta crisis, pero el repunte ha sido significativo: desde que comenzaron los primeros indicios de que se avecinaba una larga temporada de teletrabajo, el uso de la aplicación ha escalado muchísimo: ha pasado de 10 millones de usuarios a 200 millones en los últimos tres meses en todo el mundo. Un portal de análisis de aplicaciones cifra el aumento de marzo en un 86% más que otros meses.

Las complicaciones con Zoom vienen de distintos frentes: los hay relacionados con fugas de datos a otras aplicaciones, con fallos del propio programa que dejara al descubierto datos de las cuentas y con que sus medidas de privacidad no fueran tan eficientes como decían ser. Y la cuestión es que han llegado todos muy seguidos en un período de tiempo corto, este mes de marzo. Explicamos algunos de estos incidentes:

La aplicación en dispositivos Apple mandaba datos a Facebook aunque no tuvieras cuenta en la red social

Esta conclusión la sacó una investigación de un medio estadounidense especializado en tecnología, Motherboard, al hacer un análisis de la app. Pese a que en la Política de Privacidad de la aplicación no se hacía referencia a compartir datos con Facebook, este análisis resultó en que, al descargarla y abrirla en dispositivos iOs (de Apple), se conectaba a la API de Facebook, que por definirlo de alguna manera es un mecanismo por el cual los desarrolladores pueden ver datos de los contenidos de Facebook y sus usuarios y enviar datos que sirvan a la red social.

En este caso, se enviaban datos técnicos y relacionados con las cuentas como la zona desde la que se abría, el tipo y modelo de dispositivo que usa la persona. Qué quiere decir todo esto: no hace falta que tengas una cuenta en Facebook para que una aplicación mande datos de tu cuenta en otro servicio, en este caso Zoom. A Facebook también le puede interesar cuántas horas pasas en un reunión con amigos o qué usuario eres por si encuentran una manera de hacer un perfil publicitario de ti.

¿Y cómo ocurría esto? Porque Zoom había instalado una opción para que la gente que quisiese iniciara sesión a través de Facebook. Resultó que ese "extra" y sus implicaciones técnicas terminaron causando estragos.

Después de que se publicara esta información, Zoom rectificó y mandó un comunicado en el que avisaban que habían corregido ese detalle técnico de la aplicación para que dejara de mandar información sin que el usuario lo supiese.

A pesar de ello, en Estados Unidos se ha registrado una demanda contra Zoom por haber permitido este traspaso de datos y no haber trabajado por "salvaguardar la información personal de los millones de nuevos usuarios que usan la aplicación y la plataforma", según el texto de la demanda a la que hemos accedido desde Maldita.es.

Párrafo extraído de la demanda contra Zoom en Estados Unidos.

Una investigación reveló que las llamadas que Zoom decía que cifraba no lo estaban siempre

La empresa vende como característica de su servicio que las comunicaciones que se tienen en la aplicación están encriptadas "de extremo a extremo" (siempre y cuando utilices el audio por ordenador y no por el móvil). Esto quiere decir que, técnicamente, nadie podría saber qué mensajes estás enviando con tus contactos porque digamos que durante el "recorrido" que hace el mensaje este es ilegible. Y así es como se ha vendido la protección de las comunicaciones en el servicio, pero resulta que no es del todo correcto.

El medio especializado The Intercept explicó en una investigación propia que Zoom utiliza un tipo de tecnología para cifrar la conexión entre la propia aplicación (instalada en uno de nuestros dispositivos) y su servidor que en realidad no es "de extremo a extremo", sino que es meramente de "transporte". Es decir, que una persona externa o un servicio de terceros no podría leer esos mensajes o escuchar tus conversaciones si de alguna manera interceptara tu conexión (hackeando tu WiFi, por ejemplo), pero la empresa sí. De modo que la privacidad en la conexiónno es tal como se había vendido en sus guías de seguridad.

A raíz de la publicación de esta información, Zoom ha optado por excusarse en una publicación oficial en la que se disculpan por la "confusión que puedan haber creado al sugerir incorrectamente que las reuniones de Zoom se pueden cifrar de extremo a extremo". Achacan la información a que haya "discrepancias" entre lo que se entiende por cifrado de extremo a extremo, pero la definición es la que es. No incluyen referencia a si cambiaran esta característica de la presentación del servicio o no.

Una de las características anunciadas en la web de Zoom.

Un fallo de la aplicación desvelaba miles de nombres, usuarios y correos aleatorios a otras personas

Zoom tiene una función que sirve para que las personas que usen dominios de correos que pertenezcan a una misma organización (como si fuéramos los trabajadores de Maldita.es con nuestro correo electrónico corporativo) se registren y por defecto puedan ver en un apartado de su agenda de contactos otras personas que tengan ese mismo dominio de correo. Eso si no son los genéricos de Gmail, Hotmail, Outlook, Yahoo, etc.

Un "agujero técnico" en la aplicación llegó a causar que al entrar en este apartado con un email personal, se añadiesen sin razón aparente hasta cientos de otras cuentas de usuarios desconocidos, incluyendo nombres, apellidos, usuarios y correos electrónicos. Algo que debería ser privado de cada cuenta y sus propios contactos.

No solo eso, sino que la compañía ha recibido numerosas críticas, muchas de parte de profesionales expertas en el uso ético de datos, por la ingente cantidad de información que almacena sobre nuestras cuentas y nuestra actividad al usar la aplicación sin especificar del todo las finalidades.

Tras encajar tantas acusaciones sobre la mala gestión de la protección de datos, la compañía ajustó su Política de Privacidad incidiendo en ese detalle: que solo utiliza los datos para garantizar el servicio.

Y otro permite que se pudieran robar contraseñas de Windows

Este es el fallo más reciente que han detectado en la aplicación Zoom. Lo han cubierto diversos medios especializados a partir de un análisis que ha hecho un consultor en ciberseguridad y que ha demostrado que usando un "enlace infectado", por llamarlo así, ciberdelincuentes podrían acceder a las cuentas de los usuarios que usaran el sistema operativo Windows mandando ese mismo enlace a través del chat de la aplicación y que un usuario clicara en él.

El objetivo eran las contraseñas y los nombres de usuarios usados para iniciar sesión, pero la compañía dice que ya ha alertado y subsanado este agujero, por lo que recomienda actualizar la aplicación. La Oficina de Seguridad del Internauta (OSI) del INCIBE también ha emitido un comunicado en el que habla de esta vulnerabilidad.*

La respuesta de Zoom ante este tipo de incidentes llega bastante rápido, a pesar de que cuando están tapando un agujero les sale otro. En otro comunicado reciente, el director ejecutivo de la compañía alega que "su producto no estaba diseñado para prever que, en cuestión de semanas, todas las personas del mundo tuvieran que empezar a telebtrabajar, tele-estudiar y socializar desde casa". Y que esa es la razón por la que se están produciendo tantos incidentes relacionados con la privacidad.


En el caso de que utilizaras esta herramienta para la tarea que fuese y preferirías no seguir haciéndolo, en Maldita Tecnología os recomendamos hace no mucho algunas aplicaciones para hacer videoconferencias seguras y de código abierto. También puedes echar un ojo a nuestro repositorio de alternativas digitales para tu día a día

* Hemos actualizado esta pieza para incluir el comunicado de la Oficina de Seguridad del Internauta sobre esta vulnerabilidad.

Otros artículos de Maldita.es